公司名称深圳汉墨管理咨询有限公司
行业认证服务业
认证种类信息安全管理体系认证
服务内容ISO27001信息安全管理体系认证培训辅导
服务电话
所在地深圳
ISO认证ISO27001信息安全管理体系认证咨询
ISO27001认证ISO27001信息安全管理体系认证办理
发货地深圳或广州
ISO27001认证办理信息安全管理体系认证办理
A.9.3 A.9.3.1秘密认证信息的使用 检查、验证用户口令秘密认证信息的使用
用户职责
A.9.4 A.9.4.1 信息访问限制 查阅、验证使用网络服务的策略和执行情况。
系统和应用的访问控制 A.9.4.2 安全登录程序 检查、验证操作系统的安全登录控制。
A.9.4.3 口令管理系统 检查、验证操作系统的口令管理系统。
A.9.4.4 检查、验证对网络设备上的远程诊断和配置端口的保护措施。
特权使用程序的使用
A.9.4.5 程序源代码的访问控制 询问、验证对程序源代码的访问控制措施。
A.10加密控制
A.10.1 A.12.3.1 使用密码控制的策略 询问相关部门,是否使用密码控制。
加密控制 A.12.3.2 密钥管理 询问、验证密钥管理的措施。
A.11 物理和环境安全
A.11.1 A.11.1.1 物理安全边界 结合ISMS范围文件,访问行政部等相关部门,了解组织的物理边界控制、出入口控制、办公室防护等措施和执行情况。
安全区域 A.11.1.2 物理入口控制 如调阅监控录像资料等。
A.11.1.3 办公室、房间和设施的安全保护
A.11.1.4外部和环境威胁的安全防护 询问、验证组织防止火灾、洪水、地震、爆炸和其他形式的灾害的防范情况。
A.11.1.5 在安全区域工作 询问、验证组织安全区域内的物理防护。
A.11.1.6 公共访问、交接区安全 询问、验证组织公共访问、交接区内的防护措施
h) 组织要确保管理者正式批准所有残余风险 l 所有残余风险是否获得管理者正式批准?
i) 组织要确保在ISMS实施和运行之前,获得管理者授权 l ISMS实施和运行是否获得管理者授权?
j) 组织要准备适用性声明 l 组织是否有一个准备适用性声明的过程?
l 适用性声明的内容是否有含有标准规定的“3项内容”?
l 适用性声明是否记载附录A中任何控制目标和控制措施的删减,以及删减的正当性理由?
条款:4.2.2 实施和运行ISMS
a) 组织要制定风险处理计划 l 组织是否有一个符合标准此条款要求的产生风险处理计划文件的过程?
l 是否有一个“风险处理计划”文件?
b) 组织要实施风险处理计划 l 组织是否有一个符合标准此条款要求的“实施风险处理计划”的过程?
c) 组织要实施所选择的控制措施 l 组织是否有一个符合标准此条款要求的“实施所选择的控制措施”的过程?
d) 组织要定义如何测量所选控制措施的有效性 l 组织是否有一个“测量所选控制措施有效性”的过程?
l 如何使用测量措施,去测量控制措施的有效性?
e) 组织要实施培训和意识教育计划 l 组织是否有一个符合标准此条款要求的“实施培训和意识教育计划”的过程?
f) 组织要管理ISMS的运行 l 组织是否有“管理ISMS的运行”的过程?
g) 组织要管理ISMS的资源 l 组织是否有对ISMS实施所需要的资源进行管理的过程?
h) 组织要实施组织的安全程序和其他控制措施 l 组织的ISMS是否有“*检测安全事件和对安全事故能做出*反应”的程序?
条款:4.2.3 监视和评审ISMS
a) 组织要执行监视与评审程序 l 组织是否有“监视与评审程序”,以:
1) *检测处理产生的错误;
2) *识别试图的和得逞的安全违规事件和事故;
3) 使管理者能确定*人员的安全活动或通过信息技术实施的安全活动是否如期执行;
4) 通过使用指示器,帮助检测安全事件并预防安全事故;
5) 确定解决安全违规事件的措施是否有效?
A.14 信息系统获取、开发和维护
A.14.1 A.14.1.1 安全要求分析和说明 查阅系统开发中安全需求分析和说明等相关文件
信息系统的安全要求 A.14.1.2公共网络应用服务安全 询问、验证对网站信息的发布管理过程
A.14.1.3保护应用服务交易 检查业务数据、管理信息的保护权限
A.14.2 A.14.2.1安全开发策略 检查是否制定及应用关于软件和系统的开发规则,并应用于组织内的开发
开发和支持过程的安全 A.14.2.2 变更控制规程 查阅变更控制等相关文件。
A.14.2.3 操作系统变更后应用的技术评审 查阅操作系统变更后对应用的技术评审记录。
A.14.2.4 软件包变更的限制 询问对系统变更的限制措施。
A.14.2.5系统开发程序(安全系统原则) 检查是否建立安全系统开发流程,记录,维护并应用到任何信息系统开发工作
A.14.2.6安全的开发环境 检查开发、测试和生产环境是否分离
A.14.2.7 外包软件开发 是否有外包管理规定,是否按规定来监督外包项目的执行
A.14.2.8系统安全性测试 检查是否在开发过程中,测试了功能的安全性
A.14.2.9系统验收测试 查阅系统建设完成时的验收标准和验收记录
A.14.3 A.14.3.1 系统测试数据的保护 询问对系统测试数据的包括措施。
条款4.2.1 建立ISMS 检查内容
a) 组织要定义ISMS的范围 l 组织是否有一个定义ISMS范围的过程?
l 是否有对任何范围的删减?
b) 组织要定义ISMS方针 l 组织是否有一个ISMS方针文件?
c) 组织要定义风险评估方法 l 组织是否有一个定义风险评估方法的文件?
l 组织的风险评估方法是否适合ISMS的要求、适合已确定的组织的业务信息安全要求和法律法规要求?
l 接受风险的准则是否已经确定?并根据此准则,确定了可接受的风险级别?
d) 组织要识别安全风险 l 组织是否有一个识别安全风险的过程?
l 识别安全风险的过程是否符合规定?
e) 组织要分析和评价安全风险 l 组织是否有一个用于评估安全风险的过程?
l 是否评估了安全破坏可能产生对组织的业务影响?
l 这个安全风险评估过程是否符合规定?
f) 组织要识别和评价风险处理选择措施 l 组织是否有一个用于识别和评价风险处理选择措施的过程?
l 这个过程是否虑了4种可能的选择?
g) 组织要选择风险处理所需的控制目标和控制措施 l 组织是否有一个用于选择ISO/IEC 27001:2005附录A的风险处理控制目标和控制措施的过程?
l 这个过程是否确保所选择的控制目标和控制措施满足相关要求?
l 附录A的控制目标和控制措施是否都被选择?
l 如果不选择,是否有正当性理由?
l 是否选择了附录A以外的控制措施?
-/gbafcji/-
http://iso9001fsc.b2b168.com
